Tagit: change active directory operations master, update ad domain controller, switch active directory from windows 2003 to windows 2008 r2
Ennen pitkää Active Directory -toimialue tulee vaihtaa toiselle ohjelmistolle tai laitteistolle, esimerkiksi uudempaan palvelimeen. Ohjeessa käydään läpi toimialueen päivitys Windows Server 2003 Standard x86 –järjestelmästä Windows Server 2008 R2 Standard x64 –järjestelmään. Jos käyttöjärjestelmä ei vaihdu tapauksessasi, voit hypätä Adprep-kappaleen yli.
Adprep
Jotta toimialueen siirto tai kahdennus uudemmalle palvelinohjelmistolle voidaan suorittaa, toimialueen taso tulee nostaa oletus Windows 2000 Mixed –tilasta Windows 2003 Native –tilaan ja suorittamalla Adprep-työkalu. Tämä onnistuu avaamalla Active Directory Users and Computers –MMC toimialueen nykyiseltä ohjauskoneelta (isäntänimi: w2k3srv) ja valitsemalla kohdetoimialueen asetuksista ”Raise Domain Functional Level…” (kts. kuva 1). Alasvetovalikosta valitaan ”Windows Server 2003”, painetaan ”Raise” (kts. kuva 2) ja hyväksytään varoitus. Kun toimialue on oikealla tasolla, nykyiseen ohjauskoneeseen asetetaan Windows 2008 R2 –asennusmedia ja käynnistetään komentoriviltä Adprep-työkalu. Adprep-työkalu löytyy asennusmedian ”support\adprep” –hakemistosta. Koska käytössä on Windows 2003 32-bittinen versio, käytetään 64-bittisen Adprep-työkalun 32-bittistä versiota, adprep32.exe:ä. Suoritetaan komennot ”adprep32 /forestprep” (kts. kuva 3) ja ”adprep32 /domainprep”.
| 
| 
|
| Kuva 1 | Kuva 2 | Kuva 3 |
Uusi palvelin
Nyt voidaan siirtyä käyttämään uutta ohjauskonetta. Ohjeen esimerkkitietokone on puhdas Windows 2008 SP1 –asennus, jolle on määritetty isäntänimi ”w2k8srv” sekä staattinen IP-osoite. Tietokonetta ei ole vielä liitetty toimialueeseen, mutta se voisi yhtä hyvin olla. Asennetaan järjestelmään Active Directory Domain Services ja suoritetaan dcpromo.exe. Asetuksien teossa valitaan, että toimialueohjain lisätään jo olemassa olevaan toimialueeseen (kts. kuva 4). Koska tietokone ei ole vielä jäsenenä kyseisessä toimialueessa, syötetään halutun toimialueen nimi sekä siihen sopivat järjestelmänvalvojan tunnukset (kts. kuva 5). Valitaan kohdetoimialue (kts. kuva 6), hyväksytään varoitus vain-luku –palvelimista ja valitaan oletussijainti. Jos Adprep-työkalun suoritus nykyisessä ohjaintietokoneessa on tekemättä tai jäänyt vaillinaiseksi, asennus tyssää kohdetoimialueen valintaan.
Valitaan asennettavaksi ”Global catalog” –palvelu (kts. kuva 7). Seuraava herjaus koskee DNS-palvelinta, jota ei ole vielä asennettu, vaan se asentuu automaattisesti (turha ilmoitus kyseessä). Sen jälkeen syötetään kohdehakemistot Active Directoryn tiedostoille sekä hakemistopalveluiden palautussalasana. Palvelin kahdentaa nyt Windows 2003 –palvelimen Active Directory –palvelua ja tarjoaa vikasietoisuutta.
| 
| 
| 
|
| Kuva 4 | Kuva 5 | Kuva 6 | Kuva 7 |
Pääohjauskoneen siirto
Active Directoryn vastuu halutaan nyt siirtää uudelle Windows 2008 –palvelimelle. Tämä hoituu Operations Mastereiden siirrolla. Avataan Active Directory Users and Computers -MMC Windows 2008 –palvelimella tai yhdistetään siihen toisella tietokoneella (”Change Domain Controller”). Tämän jälkeen valitaan kohdetoimialueen asetuksista ”Operations Masters…” (kts. kuva 8). Siirretään kaikilta kolmelta välilehdeltä palvelu uudelle palvelimelle (kts. kuva 9).
Siirretään Domain Naming Master -rooli vastaavasti Active Directory Domains and Trusts -MMCstä. Viimeiseksi siirretään Schema Master -rooli siten, että käynnistetään tyhjä mmc.exe (komentorivillä/haulla) ja lisätään siihen Active Directory Schema -komponentti File > Add/Remove Snap-in... -valikosta. Siirretään tämäkin Operations Master tuttuun tapaan.
| 
|
| Kuva 8 | Kuva 9 |
Vanhan palvelimen poisto
Kun uusi palvelin on toiminnassa, Windows 2003 –palvelimen toimialueohjausrooli voidaan poistaa käytöstä. Suoritetaan sillä dcpromo.exe ja valitaan toimialueen ohjausroolin poisto. Poisto varoittaa, että toimialueessa on oltava jokin toinen Global Catalog –palvelu, joka juuri asennettiin uudelle ohjainkoneelle kuvassa 7. Kysyttäessä ”This server is the last domain controller in the domain” –valinta jätetään valitsematta (kts. kuva 10). Tämä tekee sen, että ohjelma koittaa ottaa yhteyttä muihin toimialueen ohjauskoneisiin. Jos ruutuun ilmestyy virheilmoitus, jossa sanotaan, että muita toimialueen ohjauskoneita ei voitu tavoittaa, poistoa ei kannata jatkaa, sillä uudessa ohjauskoneessa on jotain vialla (kts. sysvol-tapaus alempaa).
Kun poisto-ohjelma kysyy syöttämään uusia paikallisen järjestelmänvalvojan tunnuksia, ollaan jo voiton puolella. Tässä testiympäristössä poiston aikana tuli kerran virheilmoitus Netlogonista, joka keskeytti poistoprosessin. Kun poisto suoritettiin uudemman kerran, virhettä ei enää tullut, vaan poisto suoritettiin onnistuneesti. Vanha toimialueohjain on nyt tavallinen toimialueeseen liitetty tietokone.
|
| Kuva 10 |
Sysvol-tapaus
En onnistunut toistamaan kyseistä ongelmaa tässä testiympäristössä, mutta eräässä tuotantoympäristössä kävi niin, että Windows 2003 -palvelinta poistettaessa dcpromo herjasi, oletko varma, että tämä palvelin ei ole toimialueen viimeinen palvelin, sillä muita palvelimia ei tavoitettu. Vika oli siinä, että sysvol-kansio ei ollut siirtynyt uudelle palvelimelle, eikä sitä edes näkynyt uuden palvelimen jaetuissa kansioissa. Pakotettu synkronointi tapahtuu seuraavasti: